IoanSz
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый вечер. В общем в противовес предыдущему ответу вынужден сообщить, что: Добрался до микротика и проверил, выяснилось, как и предполагал, что данное правило при небольшой модификации защищает проброшенный порт (в нашем случае 3389 RDP). Привожу пример правил. /ip firewall filter add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=10d comment="" disabled=no add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=10m comment="" disabled=no add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=10m comment="" disabled=no Получается что IP адрес подбирающего пароль попадает в список rdp_stage1 после первого соединения по протоколу RDP, в список rdp_stage2 после второго соединения (первое обрывается после 6 неверных вводов пароля), а вот уж после третьего соединения (т.е. еще 6 вводов) он уже банится. Итого получается что злоумышленник успевает набрать 12 паролей и отправляется в баню, в нашем случае на 10 суток. Думаю что пользователю, имеющему доступ к серверу, ошибиться в наборе пароля 12 раз будет не просто, ну а если будут подобные эксцессы, ничто не мешает добавить еще пару шагов, в любом случае это нас избавит от 1 000 записей в логах сервера. Как-то. Все же справедливо мнение что ру форумах, после того как задал вопрос, тебя обольют грязью (спасибо что тут такое не сделали) и в итоге отправят в поиск. |